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@ Verfahren zum authentischen Booten und Testen der Integritat von Software auf PC-Architekturen 

@ Es wird ein Verfahren zum authentischen Booten und 
Testen von Software auf PC-Architekturen vorgeschlagen, 
welches ohne nennenswerte KomfortetnbuQen fur den Be- 
nutzer die Integritat des Systems beim Booten uberpruft. Als 
authenttsche, durch Software nicht manlpuli^bare Basis- 
komponente fur das authentische Booten dient der in jedem 
PC vorhandene Ein-Chip-Mikrokontrollbaustein UPl. Dieser 
wird benutzt. um einen gehelmen Schlussel aufzunehmen 
und vor unautorlslenem Zugriff zu verbergen. 
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Beschreibung 



Die Erfindung betrifft ein V rfahren zum authenti- 
schen Booten und Tcsten der IntegritSt von Softwar 
auf PC- Architekluren. 5 

Der Benutzereines Informationstcchnologie-Systcms 
gehi ttblicherwcisc davon aus, daB die Funkiionalitat 
der benutztcn Komponenten ihrer Spezifikation ent- 
sprichL Dabei vertraut er auf die Zuverlissigkeit der 
Hersteller von Hardware und Software. Ein Informa- to 
tionstechnologie-System eines vertrauenswurdigen 
Herstcllers ist nur dann vertrauenswurdig, wenn die 
Hardware nichl manipuliert wurde und das System von 
cinem authentischen Betriebssystem eines ebenfalls ver- 
u-auenswilrdigcn Herstcllers gestcucrt wird. Geht man 15 
V n eincr nicht manipulierten Hardware aus, so muB das 
Beiriebssystcm so gestartet werden, daB seine Authenti- 
ziiat vor deni Start ttberprOft wird. 

Dicse Vorgehenswcise wird authentisches Booten ge- 
nannt (vgL GroQ. Michael: '^crirauehswfirdiges Booten 20 
als Grundlage authentischer= Basissysteme" in Pfitz- 
mann A.; Raubold Ej(Hrsg.)i VIS '91-Verj5flJiche Infor- 
mationssysteme". Proceedings (Informatik Fachberichte 
271XS. 190-207. Springer, Mirz 1992). 

Authentisches Booten muB sich letztlich auf eine nicht 25 
manipulierbare Systemkomponente abstQtzen. Dies 
sollie ein Teil der Hardware sein, dessen Integritat gesi- 
chcrt ist- Nach dem authentischen Booten kann das Be- 
triebssystcnrj dazu benutzt werdcn, die Integritat von 
anderen Programmen zu flberprflfcn (z. B. mit krypto- 30 
graphisch abgcsicherten PrQfsummen). Ein derartigcs 
Vorgehen ist beispieisweise aus: Herda, Siegfried: "Chif- 
frier- und Signaturverfahren", Tutoriumsband *Vcrl2Lflli- 
chc Informaiionssysteme". Deutsche Informatik Akade- 
mie, Bonn, 1 99 1 bekannt. 35 

Dieser intcgere Zustand bleibt haufig nicht lange be- 
stehen. Wird beispieisweise ein neues Programm einge- 
spielt und gestartet, dessen Herkunft unbekannt ist, so 
ist die Systcmintegritat unter Umstanden nicht mehr 
gewahrleistet Insbesondere bci PC's, deren hauptsich- 40 
lich vcrwendcte Betriebssystcme keinerlei Schutzme- 
chanismen (MS-DOS) oder wenig Schutzmechanismen 
(OS/2) bieten, k6nnen belicbige Prozesse unautorisiert 
Anderungen an installierter Software vornehmen. Dies 
ist ein Hauptgrund, warum der Virenproblematik auf 45 
PC's so schwcr wirkungsvoll zu begegnen isL Viren k6n- 
nen auf PC's nicht nur Anwendungsprogramme infizie- 
ren, sondern auch das Betriebssystem selbst manipuUe- 
ren. 

Dies fahrt dazu, daB einerseits VirenschutzmaBnah- 50 
men vcreitelt werden k6nnen (z. R durch als Tamkap- 
penvlren bekannte Viren), andererseits die Virenaus- 
breitung auch nach einem kompletten RQcksetzen (Re- 
set) und Neustartcn des Rechners u. U. welter statt fin- 
det, selbst wenn danach kein vircnverscuchtcs Anwen- 55 
dungsprogramm gestartet wurde. 

Tamkappenviren installieren sfch resident im Haupt- 
speicher und leiicn die BlOS- und DOS-Funkiionen zum 
Festplattenzugriff auf sich um. liest ein Virenschutzpro- 
granun eine Progranundatei oder den Boot-Sektor, um eo 
cinen Virus zu fmden, so ''fDtcrt" der Virus seinen Code 
beim Lesen selbst aus» so daB immer nur die Originalda- 
teien gelesen werden und der Vims nicht bemerkt wird 

Gerade im Hinblick auf die Virenproblematik auf 
PC's ist also ein authentisches Booten notwendig, das 65 
Integritatsverletzuhgen meldet Dadurdi wird zwar eine 
Virenausbreitung nicht verhindert, aber diese immerhin 
dem Benutzer bekannt gemachc Da die meisten Viren 



Schadensfunktionen zeitverzSgert ausffihren, hat der 
Benutzer im allgemeinen die Mdglichkeit. GegenmaB- 
nahmen zu treffea bevor die Schadensfunktion ausge- 
ftihrtwird. 

Eine MOglichkeit, ein authentisches System zu boo* 
ten, besteht bei PC's darin, das Betriebssystem immer 
von einer schreibgeschiltzten nicht manipulierten Origi- 
nal-Systemdiskette zu booten oder einen Betriebssy- 
stem-lntegritatstest im ROM abzulegen. Beide L65un- 
gen bringen Komfortverluste far den Anwender mit 
sich. Das Booten von Diskette dauert z. B. bet MS-DOS 
schon recht lange. bei OS/2 ZO bcnfttigt man zum Boo- 
ten sogar zwei Disketten, mit denen der Systemstart 
etliche Minuten dauert. Die ROM-L5sung bringt Pro- 
bleme bezQglidi einer mangelnden Flexibilitat gegen- 
uber Versioiisandeningen des Be triebssys terns mit sich. 

Aufgabe der ErfinduDjg, ist es, ein Verfahren zum au- 
thentischen Booten und Tcsten von Software auf PC- 
Architekturen anzugeben, durch das auf herkdmmii- 
dien PC-Architekturen ein authentisches Booten mit 
integriertem Software- Integritats test mdglich ist, ohne 
daB damit die genannten Nachteile verbunden sind. 

Diese Aufgabe wird erfindungsgemaB durch ein Ver- 
fahren gel6st, das die Merkmale des Anspruchs 1 auf- 
weist 

Bei diesem Verfahren wird eine kollisionsfreie Ein- 
weg-Hashfunktion angewendet, die in einem in einer 
PC-Architektur vorhandcnen Universal Peripherie 
Schnittstellenbaustein (UPI) integriert ist. 

Wie bereits erwlhat muQ ach authentisches Booten 
letztlich auf einem integeren, durch Software nicht ma- 
nipulierbaren Hardwarebaustein abstQtzen* Ein solcher 
Baustein kann eine geheime Information enthalten, auf 
die sich eine Kette von Integritatstests abstOtzt, die zum 
Start eines authentischen Betriebssystems fOhrt 

Bei genauer Betrachtung der PC-Architektur findet 
man in jedem PC einen Baustein. der alle hier ndtigen 
Eigenschaften aufwieist — den UPI. Der UPI ist ein 
Schnittstciicnbaustein, der cinen kompletten Vttkro- 
computer (Prozessor, ROM, RAM, Taktgeber usw,) em- 
halL Er wird vorwicgcnd als iniclligcnte Schnittstelle f Or 
die Tastatur und ftlr die sichere Unterscheidung zwi- 
schen Kalt- und Warmstart verwendeL Im Programm- 
speicher des UPI ist genug Platz, um eine Qber einen 
geheimen SchHissei (im folgenden UPI-SchlOssel ge- 
nannt) parametrisierte Einwegfunktion unterzubringen, 
die als Ausgangspunkt einer Kette von IntegritatsprQ- 
fungen diencn kunn. 

Vorteilhalte Ausgestaltimgen der Erfindung sind Ge- 
genstand von UnteransprOchen. 

Danach erfolgt der Integritatstest in mehreren Stufen. 
Durch diese Mafinahme kaim die hohe Flexibilitat einer 
Disketten-LOsimg und der Komfort und die Sicherheit 
einer ROM-Losung miieinander kombiniert werden. 
Das Vorgehen in Stufen stellt sicher, daB kein Code 
ausgefQhrt wird, der nicht entweder unvcranderbar im 
ROM liegt oder vor seiner AusfGhrung hinsichtlich sei- 
ner Integritat getestet wurde. 

Um den MiBbrauch der Einwegfunktion durch ein 
nicht autorisiertes Programm (z. B. einen Virus) auszu- 
schlieBen^ kann der Zugriff auf diese Funktlon nach ih- 
rer Verwendung durch das autorisierte Programm ab- 
geschaltet imd erst bei einem Kaltstart wieder einge- 
schaltet werden. Die Kaltstart-Erkennung im UPI ist 
aufgnmd der Hardwar -Beschaltung zuveriassig und 
nicht umgehbar. 

Wain eine spezielle SpeicherzeD (Security-Bit) im 
UPI programmiert wird, ist der Inhalt des UPI-Pro- 
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grammspeichers selbst nach d em A usldten des Bau- 
steins vor Auslesen geschfltzt (INTEL: "UPI — 41, 42 — 
Univ rsal Peripheral Int rface 8-Bit Slave Microcont- 
roller", Datenblatt, Intel Corporation, Santa Clara, CA, 
1989» Seiten 9—54 bis 9—60, insbesonder Seite 9-60, 
Absatz: Security BitX Damit kdnnte der UPI-SchlOssel 
in alien PC's identisch sein,ohnedafi dadurch die Sicher- 
heit eingeschrlnkt wird. Ein Ennittein des UPI-SchlOs- 
sels durch eine Beobachtung der Konununikation mit 
dem UPI ist bei einer geeigneten Auswahl der Einwcg- 
funktion nicht mOglfbh (siehe beispielsweise Simmons, 
Gustavus J.: "Contemporary ifcrjptology — The Science 
of Information Integrity. IEEE Press» Bscataway, NJ, 
1992> 

Das Verfahren weist insbesondere die Vorteilc auf, 
daS keine Hardwiureerweitenmge^^^ PC-Architektur 
und auch kernes Andmmgen am Betriebssystem not- 
wendig sindl' Die bben be^hriebenen Nachteile werden 
vermieden. 



Interface UPI), der vorwiegend als intelligente Schnitt- 
stelle filr die Tastatur und fur die sichere Unterschei- 
dung zwischen einem Kalt- und einem Warmstart ver- 
wendet wird. 

5 Im Programmspeich r des UPI ist genug Platz, um 
eine Einwegfunktion unterzubringen. Um den MiB- 
brauch durch einen Virus auszusdilie&en, kann der Zu- 
griff auf diese Fimktion nach ihrer Verwendimg abge- 
schaltet und erst bei einem Kaltstai^ wieder.eihgesch^^ 
10 tet werden. Wenn eine spezielle S^icherzeUe:(Siacurity' 
Bit) im UPI progranmiiert wird, ist selbst nach dem 
Ausldten des Bausteins ein Auslesen des UPl-Pro- 
gramms nicht mehr m6glick Damit kann die Einweg- 
funktion in alien PC-Architekturen identisch sein ohne 
!5 daB dadurch die Sichcrheit eingeschranki wird. Durch 
die sichere Abschaltbarkeit des Algorithmus im UPI 
kann kein Vergessen einer Chipkarte oder Diskette Pro- 
bleme mehr bcreiten. 

Es ware denkbar, daB bei immer gieicher VerschlQs- 



ICoUisionsfreie Einweg-Hashfunktionen sind in: BOrk, 20 selung im UPI ein Angreifer auf einem andcren PC eine 



Holger: "^ashfunktionen in der Praxis der Datensiche- 
rung", Beth, T; Horster, P^ 'DATASAFE '91, Tagungs- 
band', Seiten 189 bis 198, VDE-Verlag, Berlin, 1991 na- 
herbeschrieben. 

Inwicweit man mit kryptographischen Methoden Vi- 
ren erkennen kann ist von Beutelspacher, Albrccht; Ro- 
senbaum, Ute: TCann man mit kryptographischen Me- 
thoden Vircn erkennen?", in Paul M. (Hrsg.): 'GI — 19. 
Jahrestagung I', Proceedings. Informatik Fachberichte 



Signatur zu einer manipulierten Hash-Datei berechnet 
imd dann bei der Vireninfektion ubertragt. Aus diesem 
Gnmd wird bei der Hash-Wert-Ennittlung eine indivi- 
duelle (z. R von den Konfigurationsmerkmalen des PC 
25 abhangige) Seriennummer als ein Hash-Startwert ver- 
wendet. Dadurch sind die Signaturen auch bei gleicben 
Programmen auf jedem PC verschieden. 

Die VerschlOsselung des Hash-Wertes kann auch mit 
seiner Ermittlung zusammengelegt werden. Dadurch 



2:22, Seiten 564 bis 577, Springer, 1989 beschrieben. 30 kann auf eine nachtragliche VerschiOsselung vendchtet 
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Hieraus ist insbesondere der Begiiff MAC (Message 
Authenticadon Code) bekannt, der in der weiteren Be- 
schreibung verwendet wird. 

Die Methode der Software- Versiegelung mit krypto- 
graphischen Methoden ist beispielsweise aus: Hueske, 
Thomas; Pfau, Axel: "Software-Versiegelung mit kryp- 
tographischen Methoden" Datenschutz und Datensi- 
cherung, Jg. 9a Nr. 6, Seiten 298 bis 304, Juni 1990 be- 
kannt 

Nachfolgend wird ein Ausfilhrungsbeispiel der Erfin- 
dung anhand einer Zeichntmg n^er erldutert £s zeigen 

Fig, 1 ein Struktogramm mit einem Ablauf des Sy- 
stemstarts mit Integrit&tstest gtmiS der Erfindung, 

Fig. 2 emen.ersten Imegrit§tstest mit UPI beim Ab- 
lauf nach Fig. 1, 

Kg. 3 einen zwcitcn Integrit&tstest einer Security- 
Partition beim Ablauf nach Fig. 1, 

Fig. 4 einen Lageplan mit Inteiaktionspfeilen von etn- 
zebien beteiligten Komponenten beim Ablauf nach 
Fig.l. 

Als Grundlage fur die Beschreibung wird eine PC-Ar- 
cljjtektur mit einem aUgemein bekaimten Betriebssy- 
stem wie zum Beispiel das MS-DOS- oder das OS/2-Be- 
triebssystem angenommen. PC-Architekturen weisen 
einen Prozessor auf, der alle ndtigen Eigenschaften ei- 
ner Chipkarte aufweist Mit einer Chipkarte kann ver- 
hindert werden, daB eine Einwegfunktion von einem 
Virus miBbraucht werden kann. Mit einer Chipkarte 
kann ein Hash- Wert beim Anwender verschJQsselt und 
bei jedem Test entschlOsselt werden. Der Nachteil der 60 
Chipkarte oder audi einer Magnetkarte oder einer Dis- 
kette beispielsweise ist, daB der DatentrSger mit der 
Einwegfunkdon nur bei Ablauf des PrOfprogramms ein- 
gestedct sein darf imd nach dem Test zuveri&ssig cnt- 
nommen werden iauB, sohst kdnnte der Virus auch von 65 
der Knwegfunkdon Gebrauchmachcn. 

Bei dem Prozessor handelt es sich um einen Universal 
Peripherie Schnittstellenbaustein (Universal P ripberal 



werden imd die UPI-Ebwegftmktibn nur zum Erzeugen 
eines "gehGimen SchlOsscls** verwendet werden. Dieser 
Schlussel kann dann nocb verwendet werden, nachdem 
die UPI-Funktion abgeschaltet worden ist Dabei wird 
nicht der Hash- Wert verschlOsselt sondem ein "gehei- 
mer SchlOssei' — der durch Verschlusselung einer Se- 
riennummer gebildet wiu-de — als Hash-Startwert ver- 
wendet 

Als Grundlage fOr die weitere Beschreibung wird eine 
PC-Architektur rait einem aUgemein bekannten Be- 
triebssystem wie zum Beispiel das MS-DOS- oder das 
OS/2-Betnebssystem angenommen. 

Bevor der Ablauf beun Booten n^er erlEutert wird, 
werden die MaBnahmen beschrieben, die notwendig 
sind, lun das S<^utzsy5tem in der PC-Architektur zu 
instalUeren. Dazu sind in einem Basis-Ein-Ausgabe-Sy- 
stem in einem Festwertspeicher (Read Only Memory- 
Basic Input Output System ROM-BIOS) das BIOS und 
das UPI-Progranmi zu erweitem und eine Spezial-Parti- 
50 tion (Security-Partition) sowie ein Testprogramm als 
Geratetreiber neu zu erstellen. Eine Partition ist ein 
Einteilungsbereidi cmer Festplatte, innerhalb dem der 
Code von Software gespeichcrt ist 

Das BIOS muB um fo)gende Funktionen erweitert 
55 werden: 



— Test (und eventuell Neuermitdung imd Abspei- 
cherung der Signatur einer Uriaders (Partition 
LoaderX 

— Test (und eventuell Neuermitdung und Abspei- 
chenmg der Signatur) der Spezial-Partition, 

— Nutzung der VerschlOsselungsfunkdon (Einweg- 
funktion) im UPI, 

Abschaltung der VerschlQsselungsfimktion im 
UPI, 

— Ablage eines "geheimen Schlflssels* m Haupl- 
spek:her, damit audi nach Abschaltung der UPI- 
VerschlQsselungsfunktion noch (von der Spezial- 
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Partition aus) cine symmctrische V rschlOsselung 
durchgcfUhrt werden kann. 

Das UPI-Programm muB um eine VerschlQssclungs- 
funktion crweitert wcrdcn. die mir zwischen Kaltstart 
und Abschaltung durcb das BIOS arbeitet. Dazu sind 
folgende Programmteilezuimplementieren: 

~ VerschlOsselungsalgorithmus (EinwegfunktionX 
der nur arbeitet, wenn ein bestimmtes Byte in d- 
nem UPI-RAM gesetzt ist, 

— Verwaltung cincs Bytes im UPI-RAM (Setzen 
beim Kaltstart (Reset), RQcksetzen auf BIOS-Be- 
fehU 

— Funktion zum Datentransfer zwischen UPI und 
Hauptprozessor, 

— Andcrungen an bereits vorhandenen Funktio- 
nea mit denen das Byte um UPI-RAM rflcksetzbar 
ware. 

Das eigentliche Tcstprdgramm liegt auf ciner extra 
Partition, der Security-PartitioB. Diese Partition kann 
keine primftre (boptffthige) DOS- oder OS/2.Partition 
sein, da MS-DOS und OS>^ hur eine primare DOS- oder 
OS/2- Partition erlauben und diese selbst benfitigen. Aus 
diesem Crund muB ein eigenes einfaches Dateisystem 
und ein eigenes kleines Betricbssystem installiert wer- 
den. 

FOr die Spczial-Partition sind folgende Teile ndtig: 

— Minimal-Betriebssystem mit Programm-Lade- 
routine. 

— Dateisy5tem-Treaber(fQr die zu prflfenden Parti- 
tioncn), 

— Prcfung der eigenKi Dateien (mit Hilfe dcs "ge- 
heiraen Sifililssel^^ 

— (OptJonaier Boot-Manager, mit dem die Parti- 
tion ausgewfiJiit wird, von der das Betriebssystem 
gestartctwird). 

— PrOfung der vierflnderlichen Daten des zu tcsten- 
den Betricbsiystems^ zum Beispiel Boot-Sektor und 
2ugch6rige Konfigurations-Datei CONFIGSYS 
(mit Hilfe des "gcheimeii Schlflssels^ 

— ein sogenannter RSA-Signaturtest (RSA steht 
far das Rxvest-Shamier-Adleman-Verfahren, siehe 
GroQ, Michael, *Vcrtrauenswto!iges Booten ..." 
Seitc 1 94) ciner Hash-Datei C: /SECUITY-DAT, 

— PrOfung von Betriebssystem und Prograimncn 
(alle Dateien , die in SECURITyj>AT mit ihrcn 
Hash-Werten verzeichnet sind) und fOr jede EXE- 
Datci ein Test, ob eine neue gleichnamige COM- 
Datei existiert, 

— LOschen des "geheimen SchlOssels* aus dem 
Hauptspek^her, 

— Starten des Betriebssystems (MS-DOS oder OS/ 
2). 

Sind in dem zu testenden System weitere Datenti^- 
ger, die nur mit einem Geratetrdber On CONFIG5YS) 
ansprechbar sind (z. B. eine High Performance Rle Sy- 
stem-Partition HPFS-PartitionX so kann nach dem La- 
den des Betriebssystems und der Treiber ein weiteres 
PrQfprogramm gcstartct werden. Dieses PrQfprogramm 
kann von CONFIG.SYS aus in Form etnes Geratetr i- 
bers oder ais normale Programm-Datei gestartet wer- 
den. Durch die vorher ausgefOhrten Priifstufcn ist si- 
chcrgestellt, daB Betricbssystem, CONFIG5YS und das 
PrQfprogramm integer sind. 



Der Ablauf beim Boot n 
ten: 



rfoJgt in mehreren Schrit- 
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1. Hn im ROM-BIOS integrierter Integritatstest 
prOft nach dem Kaltstart die Integritftt des Parti- 
tipns-Laders und Teile einer (zum Kbnzept gch6- 
rendcn) Spezial-Partition der Feistplatte. 
Z E>as PrOfprogramm auf der Spezial-Partition te- 
sted vordein Start des Betriebssystems, die Integri- 
tfit von Boot-Sektor, Betriebssystem und anderen 
wichtigen ausftihrbaren Dateien. 
3. Ein weiteres PrOfprogramm testet nach dem 
Start des Betriebssystems (z. B. als Qber die Datei 
CX5NFIG.SYS in das Betriebssystem ongebunde- 
ner Gerfttetreiber) die Integrit&t von Dateien auf 
weiteren Datentrigem, die nur mit Hilfe des Be- 
triebssystems Oder Gerfltetreibem ansprechbar 
sind (z. B. HPFS-Partitionen bei OS/2X 



20 Fig. I zeigt den Ablauf beim Booten emschlieBIich 
des Software-Integritiitstests in Form eines Strukto- 
granmis. Die gegenQber dem normaJen Bootvorgang 
neu hinzugekommenen Teile sind strichpunktiert einge- 
rahmt Die Funktionen, die durch Programme auf der 

25 Security-Partidon realisiert werden, sind mit einem ge- 
strichelten Rahmen gekennzeichnet Nachfolgend wird 
der Ablauf im einzelnen erlSutert: 

Nach dem Kaltstart initialisiert und teste! der POST 
(Power On Self Test) dcs BIOS die Hardware. Anschlie- 

30 Bend werden Optionen- ROM's (z. B. mit SCSI-Treiber 
gesucht und eingebunden. 

Nun kommt die BIOS-Erweitening zum Integritats- 
test des Partitions-Laders und der Spezial-Partition zur 
AusfQhrung. Zunachst wird mit Hilfe des UPI Oberprfift, 

35 ob ein Kaitsurt vorliegt. Das ist ndtig, da die spSter 
bendtigte Einweg-Funktion im UPI nach einem Kalt- 
start aktiv ist. Es wird nun der Partitions-Lader gelesen 
und mit Hilfe einer kryptographischen Hash-Funktion 
ein eindeutiges Kondensat (Hasb-Wert) abgeleitet Die- 

40 ser Hash- Wert wird durch den UPI verschlQsseh tmd 
mit dem Sollwert verglichen, der an einer bestimmten 
Stelle auf der Security- Partition abgespeichert ist. Diese 
Werte werden mit MAC (Message Authentication Co- 
de) bczeichneL Auf die gleiche Weise wird das Pro- 

45 gramm auf der Security-Partition getestet Die dafQr 
n^tigen Daten (MAC-Werte und Linge des zu testen- 
d^ Securiiy-Prpgranuns) sind im ersten Sektor (Boot- 
Sektor) der Security-Partition gespcichert 

Fig. 2 zeigt den mit Hilfe des UPI ablaufenden ersten 

50 Integritatstest in graphischer Form. 

Stimmt der MAC-Istwert mit dem gespdcherten 
MAC-Sollwert nicht fiberein (z.B. beun ersten Pro- 
grammlauf nach der Installation oder bei Virenbefall) so 
erhalt der Anwender eine Meldung. Beim ersten Pro- 

55 grammlauf kann der Anwender (z. B. nach Angabe eines 
PaBwortes) die neu ermiitelien MAC-Werte autbentin- 
zieren und dann abspeichem lassen. Treten bei einem 
spateren Programmlauf Differenzen auf, so liegt eine 
Integritatsverletzung (z. B. Virenbefall) vor. In diesem 

60 Fall k6nnen die verfinderten Teile von ciner Sicherungs- 
diskette restauriert werden. 

liegt keine Diskette in Laufwcrk A, wird eine Serien- 
nummer (cEe z. B. aus der Hardware-Konfiguration des 
PC's abgeleitet wird) im UPI vcrschlOss It und als zu 

65 diesem PC geh6riger gehcimer SchlQssel im Hauptspei- 
cher abgelegt Dann wird die VersdiiOssdungsfunktion 
des UPI abgcsdialtet Sie wird erst wicder durch einen 
Kaltstart hardwaremaBig eingeschaltet. 
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Jetzt I3dt wie gewohnt das BIOS den standardm&6i- 
gen PartitionS'Lader von der Festplatte und startet sei- 

nen Code. Der Partitions-Lader wiederum ladt und star- 
tet den Boot-Sektor der S curity- Partition. Der zweite 

Integritatsiest beginnt. Der Boot-Sektor ladt und startet 5 
das Security- Programm von der Security-Partition. Das 
Security-Programm ermittelt wieder mit einer Hash- 
Funktion den Hash- Wert der Daten auf der Security- 
Partition. Dieser Wert wird dann mit einer durch den 
vom BIOS abgelegten geheimen Schlussel parametri- 10 
sierten Einwegfunktion verschlilssek und mit dem eben- 
falls in der Security- Partition abgespeicherten MAC- 
SoUwert verglichen (siehe Fig. 3^ Damit wurde die Inte- 
gritit der Security- Partition Qberpruf L 

Die Daten auf der Security-Partition umfassen z. R 15 
die MAC-Werte von veranderbaren Betriebssystem- 
Teilen (Boot-Sektor und CONFIG5YS). die Pfadanga- 
ben von Hash-Dateien verschiedener Programmpakete, 
die vom Hersteller miigeliefert werden sollten, sowie 
Hash-Werte von Programmen, die ohne Signaturdatei 20 
geliefert wurden. 

Der geheime Schlussel im Hauptspeicher wird nun 
nicht mehr ben6tigt und daher geldscht Die weiteren 
auszufuhrenden Integritatstests arbeiten mil asymme- 
trischen kryptographischen Verfahrea 25 

Auf der zu prflfenden Betriebssystem-Partition befin- 
dct sich die Hash-Datci CySECURITYXJAT. die Na- 
men, Pfad und Hash-Werte aller zu testenden Pro- 
grammdateien enthalt. Sie wird vom Betriebssystem- 
herstelJer (oder -handler) erstellt, mit einer Signatur ver- 30 
sehen und mitgeliefert Die Signaturen werden mit ei- 
nem asymmetrischen kryptographischen Verfahren 
(z. B. RSA) erzeugi und verifiziert. Der zur Verifikation 
der Signatur der Datei notwendige dffentiiche SchlOssel 
ist auf der bereits getesteten Security-Partition abgelegt 35 
und daher nicht manipuliert worden. Ergibt diese Uber- 
prUfung der Signatur, dafi die Datei authentisch ist, so 
werden alle darin angegebenen Programmdateien Gber- 
priift, indem ihr Hash-Wert ermittelt und mit dem in 
SECURITYJDAT verzeichneten verglichen wird. Durch 40 
diese Vorgehensweise wird eine sichere Software-Dist- 
ribution zwischen Hersteller und Kunden erreicht. Auf 
die selbe Weise wird mit weiteren Hash-Dateien verfah- 
ren, deren Najnen und Lage nach der InstaJladon von 
neuen Progranunpaketen in die Security-Daten aufge- 45 
nommen wurden. Nach AbschluB dieser Prufung ww^ 
der Boot-Sektor des Betriebssysieros geladen und ge- 
startet und damit das Betriebssystem gebootet. 

In der Korifigurationsdatei CONFTG-SVS werden 
Geratetreiber geladen. Hier kann auch ein weiteres 50 
Prufprogramm angegeben sein, das dann (ahnlich wie 
das Programm auf der Security-Parution) Dateien auf 
anderen Datentragem, die nur mit Geratetreibem an- 
sprechbar sind (z. B. HPFS-Pariiiionen) OberprOft. Jetzt 
wird di Benutzeroberfiache wie gewohnt geladen. Alle 55 
Imegritatsprtifungen sind abgeschlossen und behindem 
den weiteren Rechnerbetrieb nicht 

Eine Abwandlung gegenuber den Ausfuhrungsfor- 
men gemSB der Fig. 2 und 3 besteht darin, mit der Ein- 
wegfunktion im UPI aus einer geratespezifischen Se- eo 
riennummer einen "geheimen SchlOsser zur Parametri- 
sienmg zu bilden und mit diesem Qber die Hash-Funk- 
tion den Hash-Wert zu ermitteln. 

Eine weitere Ausfflhrungsform ist. jeweils die Form 
gemtB der E^g*2 imd 3 mit der oben beschriebenen ^5 
MOglichkeii zu komblnieren, das hdfit gleichzeitig bei* 
de M5gUchkeiten vorzusehen tmd dann eine jeweils ge- 
wOnschte Mdglichkeit zu akdvieren. 



Fig. 4 zeigt noch einmal die Lage und Interaktion der 
einzelnen beteiiigten IComponenten. Di durchgezoge- 
n n Pfeile stehen dabei fOr ein Laden, die gestrichelten 
Pfeile stehen for ein PrOfen und di gepunkteten Pfeile 
stehen fur ein Daten lesen/schreiben. 

Die Bedeutungen der einzelnen mit Buchstaben be- 
zeichneten K&stchen ist folgende: 
A-Code fiir Test des Partition Loaders, 
B-Code fur Test der Security Partition, 
C-Code zur Berechnung der Signaturen, 
I^ycrwaltunjB eiries Abschalt- Bytes, 
E-Einwegfimktion, 
F-'^gcheimer SchlOsser, 
*G-Uriverajiderter Pardtion-Loader-Codc, 
H-Partition-Tabelle: Security Partition, 
I-Code-GroBe, 

|=Ci>de-Signatiir; Partiriqn^Loader-Sigiia tur, 
K-Bbpt-Sektor; Loader; DOS-Emuiator, 
L-Prixfgrogramm und Betriebssystem- Booter, 
M-Signatur-Daten, 
N-Bctriebssystem-Boot-Scktor, 
O-Betriebssystem-Loader, Kernel, Treiber, 
P-CONFIG^YS, 

Q-Signatur-Datei des Betriebssystems. 
R- weiteres Prufprogranun, 
S- Programme imd Daten, 
T*Signaiiu*-DateieiL 

Patentanspriiche 

L Verfahren zum authendschen Booten und Testen 
der Integritat von Software auf PC-Architekturen 
mit einem universalen Peripherie Schnittstellen- 
baustein (Universal Peripheral Interface UPI^ un- 
tcr Verwcndung einer kryptographisfchen Siegeler- 
zeugungs- und *prufungsmethode gemaB einem 
synunetrischen Vertm^ahxr^g^erfv^m fOr eine 
Versiegelung der Software sowie unter Verwen- 
dung eines Bootvorganges, bei dem folgende 
Schritte ablaufen: 

— DuFchfahren eines Einschalt-Selbst-Testes 
(Power On Self Test, POST} in einem Basis- 
Ein-Ausgabe-System in einem Festwertspei- 
cher (Read Only Memory-Basic Input Output 
System, ROM-BIOS) 

— Laden und AusfGhren eines Urladers (Parti- 
tion-Loader) fOr einen Code eines Einteilungs- 
bereiches (Partition) einer F^t^platte, inner- 
halb dem Software gespeichert ist, 

— Laden und Ausfuhren eines Boot-Sektors 
einer Bedebssystem-Partition, 

— Laden und AusfOhren eines Laders (Loader) 
zum Laden und Starten eines Betriebssystems, 
und 

— Laden und Starten eines Betriebssystcm- 
kems (KemelX wobci fifr die Sicgclerzeugimg 
und -prOfung eine im UPI lest eingebundcne 
koUisionsfreie Hnweg-Hashfunktion ange- 
wendet wird. 

2. Verfahren nach Anspruch 1, dadurch gdcenn- 
zeichnety 

daB durch einen im ROM-BIOS integrierten ersten 
Integritatstester nach einem vom UPI erkannten 
Kaltstart und dem POST des ROM-BIOS die Inte- 
gritat des Urladers und einer weiteren Sicherheits- 
Panition (Security Pardtiofl) mit einem zweiten In- 
tegritatstester auf der Festplatte imter Verwen- 
dimg der im vorhandenen UPI integri rten Ein- 
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weg*Hashfunlctlon g prOft und bcim Booten von 
d r Festplaitc eih auf die Eiiiweg-Hasbfunku n 
aufbau nder gebeimer kryptographischer Schliis- 
se! in einem Si^reib-Lese-Spetcher (RAM) abge- 
legt und dann die ^weg-Hashhinktion abgeschal- 5 
tet wird, und 

daD beim Kahstart mit Booten von der Festplatte 

vor dem Start des Betriebssystems durch den zwei- 

:tcn Intcgritatstester untef wenigstens zeitweiser 

Zuhil/enahme deis im RAM abgele^^enigeheirhto 10 

kryptd^phUcheri SchlOss^:die 

ten der Sidicrheits-Partiupn, des Boot^^S^ktors des 

;Betrieb5«>^tims, des Betriebs^^ 

wichtiger ausfohrbarer Datelen geprOft und bd 

nicht mehr BenOtigen des geheimen Schltlssels bei 15 

dieser Prafung der geheime SchlQssel gelOscfat 

wird. 

3. Verfahren nach Anspruch 2» dadurch gekenn- 
zeichnet, daB nach dem Start des Betriebssystems 
durch einen weiteren Integrit^tstester die Integri- 20 
tat von Dateien auf weiteren Datentrftgem, die nur 
mit Hiife des Betriebssystems oder zugehOrigen 
Gerdtetreibem ansprechbar sind, mit kryptogra- 
phischen Methoden geprCft wird 

4. Verfahren nach Anspruch 2 oder 3, dadurch ge- 25 
kennzeichnet, daB beim Aktivieren des zweiten In- 
tegrit&tstesters als erstes ein Minimaibetriebssy- 
stem geladen und gestartet wird 

5. Verfahren nach Anspruch 1 bis 4, dadurch ge- 
kennzeichnet, daB bei einer Hashfunktion zur Ab- 30 
leitung eines Hashwertes bei der Siegelerzeugung 
und -prOfung zum Zwcck der Parametrisieruiig ei- 
ne auf eine PC-Architekttir bezogene Seriennum- 
mer berOcksichtigt wird 

€L Verfahxien nach Anspruch 5, dadurch gekenn- 55 
zaf^netj daB atis der Serlennummer in Verbindung 
mit der Einweg-Hashftinktioh im UPI ein •gchei- 
tnef SdilQssd** erzeugt wird, mit dem Qber die 
Hashfunktion ein Hash- Wert abgeleitet wird 
7. Verfahren nach einem der vorherigen - Ansprfl- 40 
chc^ dadurch gekennzeichnet^ daB bei der Durch- 
fOhrung der Einwcg-Hashfunktion ein im UPI ihtc- 
grierter gehetmer SchlOssi^l berQckdchtigt wird 



Hierzu 3 Seite(n) Zekrhnungen 45 
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